Соответствие AWS требованиям программы SOC

SOC

Отчеты AWS Service Organization Control (SOC) представляют собой независимые отчеты сторонних экспертов, которые иллюстрируют, как AWS реализует ключевые механизмы управления и решает задачи соответствия требованиям. Цель данных отчетов – дать вам и вашим аудиторам представление о механизмах управления AWS, предназначенных для поддержки эксплуатации и обеспечения соответствия требованиям. Существует три типа отчетов AWS SOC.

Отчет AWS SOC 1: загрузить с помощью AWS Artifact
AWS SOC 2. Отчет о безопасности, доступности и конфиденциальности: загрузить с помощью AWS Artifact
AWS SOC 3: отчет о безопасности, доступности и конфиденциальности

Соответствие облака SOC нормативным требованиям – клиенты

Slack предоставляет платформу для обмена сообщениями, которая объединяет в себе многие коммуникационные сервисы, такие как Твиттер, Dropbox, Google Docs, Jira, GitHub, MailChimp, Trello и Stripe, и интегрируется с ними. Компания из Сан-Франциско, запустившая одноименное приложение в феврале 2014 года, была основана небольшой группой предпринимателей из Силиконовой долины, куда, помимо прочих, входил основатель Flickr Стюарт Баттерфилд. »

Kaplan, Inc. ежегодно обслуживает более 1,2 млн учащихся, предлагая индивидам, учреждениям и компаниям разнообразные программы высшего образования, подготовки к экзаменам, профессионального образования, изучения английского языка, подготовки к поступлению в вуз и программы для средней школы. Заслуги Kaplan по повышению доступности образования и использованию технологий и инноваций в учебно-методической сфере признаны во всем мире. »

«AWS поддерживает стратегическую приверженность облачным вычислениям и публикует свой аудит отчета о соответствии требованиям Service Organization Controls 1 (SOC 1), Type 2 для демонстрации своих методов обеспечения безопасности. Мы также обнаружили, что предлагаемый сервис просто внедрить и использовать». »

Amazon Web Services продемонстрировала соответствие таким стандартам, как HIPAA, ISO 27001, SOC 1/2/3, ISO 9001, FedRamp и FISMA, что позволило компании DNAnexus создать платформу, позволяющей клиентам работать над проектами клинических исследований огромного масштаба и охвата, гарантируя качество и эффективность анализа, а также и безопасность и удобство совместной работы. »

«Используя AWS, компания Jobvite может придерживаться стандартов ведения отчетности SSAE SOC 1, 2 и 3, соответствует стандарту PCI DSS Level 1, а также получила сертификат соответствия ISO 27001. Это имеет для нас огромное значение. Мы просто не смогли бы предлагать свои услуги корпоративным клиентам и среднему бизнесу без наличия этих сертификатов, поскольку они требуют их от своих поставщиков SaaS-решений». »

Mambu убедил тот факт, что AWS имеет целый ряд сертификатов соответствия, которые имеют критически важное значение для банков: к примеру, отчеты SOC 1, SOC 2 и SOC 3, сертификат PCI DSS Level 1, а также сертификат соответствия стандарту управления безопасностью ISO 27001. »

Какую информацию содержат отчеты AWS SOC?

	SOC 1	SOC 2: безопасность, доступность и конфиденциальность	SOC 3: безопасность, доступность и конфиденциальность
Что представляет собой данный отчет?	Описание среды средств контроля AWS и внешний аудит определенных средств контроля AWS и выполняемых задач	Описание среды управления AWS и внешний аудит средств контроля AWS, которые соответствуют критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services	Публичный отчет, подтверждающий, что AWS соответствует критериям и принципам безопасности, доступности и конфиденциальности AICPA Trust Services
В соответствии с какими стандартами подготавливается отчет об аудиторской проверке?	AICPA: AT 801, отчетность по средствам управления в организациях, предоставляющих сервисы	AICPA: AT 101, мероприятия проверки Пособие по применению технических методов AICPA: TSP, раздел 100: «Принципы, критерии и примеры Trust Services»	AICPA: AT 101, мероприятия проверки
Какова основная цель отчета?	Предоставить клиентам информацию о среде управления AWS, которая может быть связана с их внутренним средствам управления финансовой отчетностью Предоставить клиентам и их аудиторам информацию для проверки и оценки эффективности внутренних средств управления финансовой отчетностью (ICOFR)	Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS в отношении безопасности, доступности и конфиденциальности системы	Предоставить клиентам и пользователям с коммерческими потребностями независимую оценку среды управления AWS с точки зрения безопасности, доступности и конфиденциальности, не разглашая внутреннюю информацию AWS
Для кого в первую очередь предназначен отчет?	Управляющие органы клиентов и аудиторы	Пользователи с коммерческими запросами	Находится в открытом доступе и доступен здесь.
Какой период охватывает отчет?	6 месяцев: с 01.10 по 31.03 и с 01.04 по 30.09	6 месяцев: с 01.10 по 31.03 и с 01.04 по 30.09	6 месяцев: с 01.10 по 31.03 и с 01.04 по 30.09

Что такое AT 801?

Attestation Standard Section 801 (AT 801) – это стандарт, разработанный для организаций, предоставляющих сервисы (таких как AWS), с целью создания отчетности по соответствию политикам, процедурам и средствам контроля. В нем содержатся указания для аудиторов, проводящих проверку AWS как организации, предоставляющей сервисы. Отчет AWS SOC 1 подготовлен нашими независимыми аудиторами сервисов (Ernst & Young, LLP) в соответствии с AT 801. Он предоставляет гарантии и оценки независимых аудиторов относительно внутренних средств контроля AWS, которые могут относиться к внутренним средствам контроля финансовой отчетности клиента. AT 801 выпускается Советом по стандартам аудита Американского института сертифицированных бухгалтеров и заменяет два предыдущих руководящих стандарта для аудиторов по проверке средств контроля организаций, предоставляющих сервисы, известные как SSAE 16 и SAS 70.

Отчеты о безопасности, доступности и конфиденциальности AWS SOC 2 и SOC 3 разрабатываются в соответствии с разделом 101 аттестационного стандарта (AT 101), – документом, позволяющим аудитору подготовить тематический отчет, отличающийся по содержанию от финансовых отчетов, следуя рекомендациям AICPA Подготовка отчетности об элементах управления в организации по оказанию услуг, связанных с доступностью средств безопасности, целостностью данных при обработке, конфиденциальностью и защитой личных данных, а также принципам и критериям Trust Services.

Выпускающий орган	Standard	Описание руководства	Отчет
Совет по стандартам аудита (ССА) Американского института сертифицированных бухгалтеров (AICPA) Подробнее: www.aicpa.org	Attestation Standard Section 801 (AT 801)	Проверка средств контроля в организации, предоставляющей сервисы. В данном разделе содержится описание процедур проверки аудитором средств контроля организаций, предоставляющих сервисы пользователям, если эти средства контроля могут быть связанными с внутренними средствами контроля финансовой отчетности пользователя. Подробнее: AT 801	SOC 1
Attestation Standard Section 101 (AT 101)	Мероприятия проверки В данном разделе указана общая схема мероприятий проверки и перечислены общие стандарты аттестации, включая примеры отчетов исследования и осмотра. Подробнее: AT 101	SOC 2: безопасность, доступность и конфиденциальность SOC 3: безопасность, доступность и конфиденциальность

Выпускающий орган

Standard

Описание руководства

Отчет

Совет по стандартам аудита (ССА) Американского института сертифицированных бухгалтеров (AICPA)

Подробнее: www.aicpa.org

Attestation Standard Section 801 (AT 801)

Проверка средств контроля в организации, предоставляющей сервисы.

В данном разделе содержится описание процедур проверки аудитором средств контроля организаций, предоставляющих сервисы пользователям, если эти средства контроля могут быть связанными с внутренними средствами контроля финансовой отчетности пользователя.

Подробнее: AT 801

SOC 1

Attestation Standard Section 101 (AT 101)

Мероприятия проверки

В данном разделе указана общая схема мероприятий проверки и перечислены общие стандарты аттестации, включая примеры отчетов исследования и осмотра.

Подробнее: AT 101

SOC 2: безопасность, доступность и конфиденциальность

SOC 3: безопасность, доступность и конфиденциальность

Какие сервисы AWS включены в отчет SOC?

Список сервисов AWS, на которые распространяется действие отчетов SOC, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Какие регионы входят в отчет AWS SOC?

Регионы Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Северная Калифорния), AWS GovCloud (США), Канада (Центр), Европа (Ирландия), Европа (Франкфурт), Европа (Лондон), Азия и Тихий океан (Сингапур), Азия и Тихий океан (Сидней), Азия и Тихий океан (Токио), Азия и Тихий океан (Сеул), Азия и Тихий океан (Мумбаи) и Южная Америка (Сан-Паулу), а также периферийные местоположения AWS в следующих регионах:

Мельбурн, Австралия
Сидней, Австралия
Рио-де-Жанейро, Бразилия
Сан-Паулу, Бразилия
Монреаль, Канада
Торонто, Канада
Гонконг, Китай
Лондон, Англия
Марсель, Франция
Париж, Франция
Франкфурт, Германия
Ченнаи, Индия
Мумбаи, Индия
Нью-Дели, Индия
Дублин, Ирландия
Милан, Италия
Осака, Япония
Токио, Япония
Сеул, Корея
Амстердам, Нидерланды
Манила, Филиппины

Варшава, Польша
Сингапур
Мадрид, Испания
Стокгольм, Швеция
Тайбэй, Китайская Республика
Калифорния, США
Флорида, США
Джорджия, США
Иллинойс, США
Индиана, США
Миннесота, США
Миссури, США
Нью-Джерси, США
Нью-Йорк, США
Огайо, США
Орегон, США
Пенсильвания, США
Техас, США
Вирджиния, США
Вашингтон, США

Кто проводит независимый аудит AWS для составления отчетов SOC?

Аудиты AWS SOC 1, SOC 2 и SOC 3 проводит компания Ernst & Young LLP.

С какой периодичностью выпускаются отчеты AWS SOC? Когда будет выпущен следующий отчет?

AWS два раза в год выпускает отчеты SOC 1, SOC 2 и SOC 3, покрывающие шестимесячный период (первый отчет покрывает период с 1 октября до 31 марта, второй – с 1 апреля до 30 сентября). Новые отчеты выпускаются в середине мая и середине ноября.

Доступен ли отчет ISAE 3402?

Аудит AWS SOC 1 проводится в соответствии с Международными стандартами подтверждения достоверности информации № 3402 (ISAE 3402). Клиентам, которым необходим отчет ISAE 3402, могут запросить отчет AWS SOC 1, тип II.

Нужно ли заключать соглашение о неразглашении (NDA), чтобы получить отчеты AWS SOC?

Соглашение о неразглашении требуется только для просмотра отчетов AWS SOC 1 и 2; отчет AWS SOC 3 находится в свободном доступе здесь. Отчет AWS SOC 3 представляет собой краткий обзор отчета AWS SOC 2. В нем кратко изложено, что по результатам отчета SOC 2 платформа AWS отвечает принципам надежности сервисов AICPA. В отчет также включено заключение внешнего аудитора об эксплуатации средств управления и контроля.

Как можно запросить отчет AWS SOC 1 или SOC 2?

Отчеты AWS SOC 1 и SOC 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Начните работу с AWS Artifact уже сегодня.

Где можно получить отчет AWS SOC 3?

Отчет AWS SOC 3 находится в открытом доступе и доступен по ссылке.

Ресурсы по соответствию требованиям SOC

Хотите получать дополнительную информацию о соответствии AWS требованиям SOC?

Свяжитесь с нами